Как запретить суперпользователю изменение файла?

immutable flag или SELinux

Как сменить порт на клиенте Wireguard?

Важно вносить изменения в конфиг, тогда, когда сам сервис не запущен, так как
wireguard сам изменяет конфиг , если какие то параметры были изменены в процессе работы.
чтобы этого избежать, в конфиг (в раздел [Interface]) можно добавить опцию
SaveConfig = false

Остановить - значит сделать чтобы он не был запущен. У меня он настроен как сервис, соответственно я делаю
systemctl stop wg-quick@wg0

Отваливаеться hdd от raspberry pi 3b+?

Иван, питание от малинки это очень плохо. 90% проблем с дисками при работе с малиной - от недостатка питания. постарайтесь запитать диск от своего источника (есть даже такие кабели , с отведенным питанием).

Как завернуть трафик отправленный на прямой ip через vpn-сеть?

нет, я имел ввиду, что трафик от клиента из впн до сервиса 80.80.80.80 должен отправляться в впн к сервису 10.8.8.10 .
Либо я не правильно понял вопрос.
П.С. нам бы схемку аль чертеж ..

Почему не работает баш скрипт?

Я кстати читал про войну с expect , когда чтото хотели делать на mikrotik-e с помощью expect-а , а не получалось по причине вот этой разноцветной консоли. Там спасало ssh -T

P.S. нашел ссылку https://forummikrotik.ru/viewtopic.php?t=6363

Как решить эту ошибку?

папку с системными либами может защищать SELinux. Тогда замена прав ничего не даст - надо еще и правильно SELinux зашаманить, ну или выключить его..

Как сделать универсальный конфиг сайтов nginx?

Ansible

Прокси сервер squid, ssl_bump поясните, в чем разница между peek и stare?

Вот смотрите, я ниже скину часть своих настроек "прозрачного" прокси. Т.е. на него трафик заворачивается через iptables.

# transparent configuration ports
http_port 192.168.1.253:10080 intercept
https_port 192.168.1.253:10443 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

# тут всякое не относящееся к нашему вопросу

# SSL SSL SSL
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice all

# ниже снова всякие другие опции, delay_pools и т.п.

Как правильно добавить возможность рестарта службы без дополнительного ввода пароля?

Не совсем,
вот так должно быть:
%haproxy ALL=NOPASSWD:HAPROXY

Как посмотреть writable layer контейнера?

Например вот так:

➜  ~ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                    NAMES
2e03db4ba018        c8088db441f8        "/sbin/tini -- /entr…"   4 weeks ago         Up 7 days           0.0.0.0:8080->8080/tcp   jira-test_jira_1

➜  ~ docker inspect 2e03db4ba018 | grep Source
                "Source": "/home/dmitryg/tmp/jira-test/jira.config",
                "Source": "/var/lib/docker/volumes/jira-test_jiralogs/_data",
                "Source": "/home/dmitryg/tmp/jira-test/certs",
                "Source": "/var/lib/docker/volumes/jira-test_jiradata/_data",
➜  ~

Почему Dhcp сервер не запускается?

Из мануала.

The routers option specifies a list of IP addresses for routers on the client's subnet. Routers should be listed in order of preference.

Укажите корректный адрес роутера.
Очевидно, что для подсети 192.168.0.0/24 (255.255.255.0 , в вашем конфиге) не может быть роутера с адресом 192.168.0.255
Если вы просто хотите "поиграться" , укажите например 192.168.0.254

Почему Dhcp сервер не запускается?

вы уверены , что этот адрес указан верно?

Почему при использовании nslookup в конец имени добавляется имя домена (BIND)?

Dymok, честно скажу - не понимаю этого поведения. Я не сталкивался с таким не на Windows системах, и возможно просто мы чтото проглядели. Тут resolv.conf генерится NetworkManager-ом, тот берет данные из сетевых конфигов..
Можно кстати ему сказать не трогать настройки DNS , вроде есть такая опция в
/etc/NetworkManager/NetworkManager.conf

Почему при использовании nslookup в конец имени добавляется имя домена (BIND)?

Dymok, это потому что клиент из сети не имеет права на query. Вот эта строка в конфиге

allow-query { localhost; };

надо изменить на

allow-query { localhost; 192.168.20.0/24; }

Почему при использовании nslookup в конец имени добавляется имя домена (BIND)?

Добавлю.
Если это Windows - проверьте настройки сети, там может стоять галка у пункта (я не помню как точно, винды под рукой нет) чтото типа "Добавлять в запросы суффикс DNS по-умолчанию"

Как заблокировать рекламу yotube в RouterOS?

Совета не дам, просто пару мыслей.
У браузерного плагина есть преимущество перед роутером - он смотрит прям на код веб-страницы и режет оттуда знакомые "паттерны", это не обязательно доменные имена или ссылки, это и части кода и т.п.
роутер так не может.
но! роутер может редиректить запросы на прокси сервер и вот уже тот можно учить логике аналогичной uBlock, но уж больно это гимморно.
Если мы редиректим например на сквид (развернули где то сбоку), то там придется настроить transparent для SSL, это уже гимморой достаточно приличный..

Как настроить Docker и динамические поддомены?

Смотрите как оно работает:
Взлетает контейнер proxy-nginx и ждет когда ктото из контейнеров выставит переменную окружения и порт.
Следом взлетает контейнер с конфлей и объявляет переменные:
VIRTUAL_HOST: 'confluence.local.net'
VIRTUAL_PORT: '8090'
Контейнер с nginx-proxy говорит, "Ага, вижу.." и генерит для него виртуалхост на основе шаблона (шаблон можно свой сделать это нетрудно, я ничего не трогал, меня тот что есть устраивает). После этого он делает релоад своего процесса и вуаля - начинает отвечать на этом вирт хосте и перенаправлять трафик с него на конфлю по указанному порту.
Всю эту камарилью можно смотреть в логах:
docker-compose logs -f

Перенаправление исходящего порта на конкретный порт возможно?

Денис, мой косяк - синтаксис. Правильно
--to host:port
два минуса тут )
Смотрите, мое правило предполагает , что приложение с локального сервера хочет подключится к удаленному серверу по порту 21 (умеет только этот порт), а на удаленном сервере открыт совсем иной порт - 2121
Вы конечно можете написать -d 127.0.0.1 , просто вам тогда придется не забыть, что когда ваше локальное приложение идет к 127.0.0.1:21 то на самом деле будет идти на 11.11.11.10:2121.

Перенаправление исходящего порта на конкретный порт возможно?

Только не postrouting а OUTPUT

iptables -t nat -A OUTPUT -o eth0 -p tcp -d другой-хост --dport 21 -j DNAT -to другой-хост:2121

Nginx: как правильно передать query_string в header?

Спасибо! Это как говорится "глаз замылился", когда от усталости не видишь очевидный вариант.